ChamelGangのChamelDoH

ChamelGangはロシアのエネルギー・航空企業や日本の組織などいくつもの国の組織をターゲットとして活動するグループです。
彼らは2021年から活動が観測されていますが、当時は彼らの使うWindows向けのツールキットのみが注目されていました。
そんななか、2022年の終わりごろからそれとは別にChamelDoHというマルウェアも観測されるようになりました。
ChamelDoHはどんなものなのでしょうか。

• Linux向けマルウェア
  ChamelDoHはC++で記述されLinux向けにコンパイルされたマルウェアです。

   

• DoHは通信形式
  マルウェアの名前の末尾にDoHという部分があります。
  DoHはDNS over HTTPSです。
  HTTPS通信の上でDNSを利用するものです。
  ChamelDoHはこれを使用します。

   

• DoHの通信先
  DoHという方法そのものは広く使われています。
  GoogleやCloudFlareが公にサービスを提供していますが、ChamelDoHもこれを使います。
  これは何を意味するのでしょうか。
  HTTPSは暗号化通信となっていて通信内容を検査できませんので、組織の出口で通信を監視しても、ChamelDoHの使用するDoHの通信を個別に認識することはできません。

   

• ChamelDoHのDoH
  ChamelDoHはこういった利用環境において、独自に設置したDNSサーバをC2として使える環境を用意しています。
  侵害先で動作するマルウェアはC2に送信したい内容を暗号化しDoHで投げるFQDNのホスト名部分として文字列を作成します。
  そしてそのFQDNのTXTレコードをDoHを足回りとして使用してC2であるDNSサーバに投げます。
  受け取ったDNSサーバはFQDNのホスト名部分を解釈し、次の指令を用意します。
  指令内容はまたもや暗号化され、今度はそれを要求されたTXTレコードのデータ部分としてマルウェアに戻します。
  この機構により、経路上を完全に暗号化した状態でマルウェアとC2の通信が成り立つ環境になります。

   

• ChamelDoHの機能
  ChamelDoHはRATとしての機能を搭載しています。
  run、sleep、wget、upload、download、rm、cp、cdといったコマンドが実装済みです。
  コマンド名を見ただけで内容が想像できます。
  任意のコマンドが実行でき、C2の指示で次の活動まで指定期間休止させることができ、外部からファイルを入手し、入手した情報を持ち出し、外部から取り込んだ情報を侵害先に書き込み、ファイルを削除し、ファイルをコピーし、作業ディレクトリを変更することができます。
  これって、侵害先で自由に活動できるのと同義に思えます。

このChamelDoHはすでに10個の亜種が観測されています。
そのなかにはすでにVirusTotalに登録されているものもあります。
2023年6月15日時点でVirusTotalには62のセキュリティベンダーの解析機構による検出結果が確認できる機構がありますが、この1つのChamelDoHのサンプルをChamelDoHとして検出できたベンダーは1つだけでした。

マルウェアによっては侵害先での活動の検出が困難で通信内容の検査による検出のほうが効率が良いというものもあります。
しかし、このマルウェアの検出をネットワーク活動の検査によって行うことは容易ではなさそうです。
脅威となる活動によって効果を発揮しやすい対策が異なるということでしょうか。
多層防御で対応していくことの重要性を見た気がします。

参考記事（外部リンク）：ChamelGang and ChamelDoH: A DNS-over-HTTPS implant
stairwell.com/news/chamelgang-and-chameldoh-a-dns-over-https-implant/